SecDevOps Day

Au cœur de la cybersecurity week, qui s’est tenue du 16 au 21 octobre 2017, Excellium a proposé un événement dédié au SecDevOps et qui a réuni 70 participants. Durant toute la journée du 20 octobre, à Mondorf, la société de services informatiques et ses nombreux partenaires ont évoqué l’intégration des enjeux de la sécurité applicative dans le cadre d’approches agiles, au service du développement et du déploiement continus. Par Sébastien Lambotte

Le code, un investissement clé

Il n’y a pas si longtemps, c’était souvent après les étapes du développement qu’une équipe procédait à des tests d’intrusion, afin d’évaluer la sécurité du système. Aujourd’hui, les acteurs économiques ne peuvent plus se permettre d’attendre ou, pire, de voir leurs investissements dans le développement mis à mal par des failles détectées une fois le travail terminé. « Le code est un asset essentiel de l’économie digitale. Il sert à créer de la valeur. L’enjeu est qu’il reste le moins longtemps possible immobilisé. La sécurité envisagée en bout de chaîne ne permet plus de répondre aux exigences de qualité et de réactivité actuelles. Retarder la mise en production à cause d’une faille, avec les coûts supplémentaires qu’entrainent des mesures de correction, est susceptible de faire perdre tout avantage concurrentiel à l’entreprise », poursuit Dominique Righetto.

Il faut donc intégrer la sécurité au cœur du processus de développement avec la mise en place d’une approche SecDevOps. « Quand le DevOps fait converger le développement et l’opération, le SecDevOps y intègre une dimension sécurité indispensable. On casse les silos, pour mieux faire travailler ensemble des équipes qui, hier, travaillaient chacune de leur côté, les unes après les autres, poursuit le spécialiste en sécurité applicative. Désormais, tous contribuent à un même projet, avec la volonté commune de garantir fonctionnalité et sécurité des développements. »

Découvrez le SecDevOps

Le concept de SecDevOps et sa mise en œuvre à l’échelle d’un projet sont les thèmes qui ont été largement évoqués le vendredi 20 octobre, lors d’une journée événement proposée par Excellium et ses partenaires dans le cadre de la Luxembourg Security Week. « Ce travail d’équipe est indispensable à la mise en œuvre d’une approche Security by Design. Sur l’ensemble de la chaîne, des équipes pluridisciplinaires permettent d’aligner les contraintes et objectifs poursuivis par chacun, en matière de développement, de déploiement, de gestion opérationnelle et de sécurité, poursuit Dominique Righetto. Il faut pouvoir mettre en place des équipes ainsi que des environnements adaptés, afin de s’assurer de la qualité et du niveau de sécurité des projets délivrés. »

S’appuyer sur un partenaire externe

Les membres de ces équipes pluridisciplinaires doivent faire preuve d’ouverture, être curieux et rigoureux, en mesure de comprendre les métiers des autres. Ce sont évidemment des profils rares et difficiles à trouver. Pour pallier cette difficulté, des services innovants voient le jour. Par exemple, Excellium a mis en place une équipe dédiée comptant des professionnels du développement et des spécialiste en sécurité applicative. « Cette équipe, mutualisée, permet à nos clients d’accéder à une offre Security as a Service, qui s’intègre à l’usine logicielle des clients, autrement dit à leur cycle de développement et de déploiement. Les équipes, chez le client, sont connectées avec nous, pour disposer d’une analyse réactive du code et des recommandations adaptées en cas de faille décelée, précise le consultant en sécurité applicative. Le client accède à un partenaire de proximité, qui partage ses objectifs et ses contraintes de manière pragmatique. Il accède dès lors à ces compétences rares, indispensable à la mise en œuvre d’une approche SecDevOps efficiente. » Ce service comme d’autres solutions pouvant soutenir les acteurs économiques dans leur transformation digitale et le renforcement de leur sécurité ont été évoqués évoqués lors de cette journée exceptionnelle du 20 octobre 2017.

Share: